Windows クレーム認証を使用する Web アプリケーションを作成する (SharePoint Server 2010)

 

トピックの最終更新日: 2016-11-30

ここでは、Windows クレーム認証を使用する Web アプリケーションを作成する方法について説明します。

ヒント

Windows クラシック認証を使用する必要がある場合は、「Windows クラシック認証を使用する Web アプリケーションを作成する (SharePoint Server 2010)」を参照してください。

この手順を実行する前に、次の点を確認してください。

• システムで Microsoft SharePoint Server 2010 が実行されていること。

• 論理アーキテクチャの設計が済んでいること。詳細については、「論理アーキテクチャ コンポーネント (SharePoint Server 2010)」を参照してください。

• Web アプリケーションの認証の計画が済んでいること。詳細については、「認証方法を計画する (SharePoint Server 2010)」、「Kerberos 認証を計画する (SharePoint Server 2010)」、および「セキュリティ グループを選択する (Office SharePoint Server)」を参照してください。

• Web アプリケーションで使用するサービス アプリケーションを選択してあること。詳細については、「サービス アプリケーションとサービスを管理する (SharePoint Server 2010)」を参照してください。

• SSL (Secure Sockets Layer) を使用する場合は、IIS Web サイトを作成した後で、SSL 証明書と Web アプリケーションの IIS Web サイトを関連付ける必要があります。SSL の設定の詳細については、「How to Setup SSL on IIS 7.0 (英語)」(https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x411) (英語) を参照してください。

• 代替アクセス マッピングについて読んでいること。

• Windows でユーザー アカウント制御 (UAC) を有効にしてあり、Windows PowerShell 2.0 を使用して Web アプリケーションを作成する場合は、SharePoint 2010 管理シェルを右クリックして [管理者として実行] を選択する必要があります。

管理者は、SharePoint サーバーの全体管理 Web サイトまたは Windows PowerShell を使用して、Web アプリケーションを作成できます。通常は、サーバーの全体管理を使用して、Web アプリケーションを作成します。企業で一般的な Web アプリケーション作成作業の自動化を行う場合は、Windows PowerShell を使用します。この手順が完了したら、作成した Web アプリケーション上に 1 つ以上のサイト コレクションを作成できます。

サーバーの全体管理を使用して Windows クレーム認証による Web アプリケーションを作成するには

1. 次に示す管理者の資格情報があることを確認します。

   • Web アプリケーションを作成するには、サーバーの全体管理を実行しているコンピューターの Farm Administrators SharePoint グループのメンバーおよびローカル Administrator グループのメンバーである必要があります。

2. [サーバーの全体管理] ホーム ページで、[アプリケーション構成の管理] セクションの [Web アプリケーションの管理] をクリックします。

3. リボンの [新規] をクリックします。

4. [新しい Web アプリケーションの作成] ページの [認証] セクションで、[クレーム ベースの認証] をクリックします。

5. [IIS Web サイト] セクションで、次の 2 つの方法のどちらかを選択して新しい Web アプリケーションの設定を構成します。

   • [既存の IIS Web サイトを使用する] をクリックし、新しい Web アプリケーションをインストールする Web サイトを選択します。

   • [新しい IIS Web サイトを作成する] をクリックし、[名前] ボックスに Web サイトの名前を入力します。

6. [IIS Web サイト] セクションの [ポート] ボックスに、Web アプリケーションへのアクセスに使用するポート番号を入力します。新しい Web サイトを作成している場合、このフィールドにはランダムなポート番号が自動的に入力されます。既存の Web サイトを使用する場合は、このフィールドに現在のポート番号が表示されます。

   注意

   HTTP アクセスの既定のポート番号は 80 で、HTTPS アクセスの既定のポート番号は 443 です。ユーザーがポート番号を入力せずに Web アプリケーションにアクセスできるためには、該当の既定のポート番号を使用する必要があります。

7. オプション: [IIS Web サイト] セクションの [ホスト ヘッダー] ボックスに、Web アプリケーションへのアクセスに使用するホスト名 (たとえば www.contoso.com) を入力します。

   注意

   通常、このフィールドは、同じサーバーの同じポート番号を共有するように 2 つ以上の IIS Web サイトを構成する必要があり、DNS が同じサーバーに対して要求をルーティングするように構成されているのでない限り、設定されません。

8. [IIS Web サイト] セクションの [パス] ボックスに、サーバー上の IIS Web サイトのホーム ディレクトリのパスを入力します。新しい Web サイトを作成している場合、このフィールドには推奨パスが自動的に入力されます。既存の Web サイトを使用する場合は、このフィールドにその Web サイトの現在のパスが表示されます。

9. [セキュリティの構成] セクションで、匿名アクセスを許可するかどうか、および SSL (Secure Sockets Layer) を使用するかどうかを選択します。

   1. [匿名アクセスを許可する] で、[はい] または [いいえ] をクリックします。匿名アクセスの許可を選択すると、コンピューター固有の匿名アクセス アカウント (IIS_IUSRS) を使用して、Web サイトに匿名でアクセスできるようになります。

      注意

      ユーザーが任意のサイトのコンテンツに匿名でアクセスできるようにする場合は、SharePoint サイト レベルで匿名アクセスを有効にする前に、Web アプリケーション領域全体で匿名アクセスを有効にする必要があります。その後で、サイトの所有者は匿名アクセスをサイト内でどのように使用するかを構成できます。Web アプリケーション レベルで匿名アクセスを有効にしておかないと、後からサイト レベルで匿名アクセスを有効にすることはできません。詳細については、「セキュリティ グループを選択する (Office SharePoint Server)」を参照してください。

   2. [SSL (Secure Sockets Layer) の使用] で、[はい] または [いいえ] をクリックします。Web サイトに対して SSL を有効にする場合は、SSL 証明書を要求してインストールし、SSL を構成する必要があります。SSL の設定の詳細については、「How to Setup SSL on IIS 7.0 (英語)」(https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x411) (英語) を参照してください。

10. [クレーム認証の種類] セクションで、Web アプリケーションに使用する認証を選択します。

    1. Windows 認証を有効にする場合は、[Windows 認証の有効化] を選択し、ドロップダウン メニューで [ネゴシエート (Kerberos)] または [NTLM] を選択します。詳細については、「Kerberos 認証を計画する (SharePoint Server 2010)」を参照してください。

       統合 Windows 認証を使用しない場合は、[統合 Windows 認証] をオフにします。

       ネットワーク上で、ユーザーの資格情報を暗号化されていない形式で送信する場合は、[基本認証 (パスワードはクリア テキストで送信されます)] を選択します。

       注意

       基本認証、統合 Windows 認証、またはその両方を選択できます。両方を選択すると、SharePoint Server 2010 は、両方の認証の種類をクライアント Web ブラウザーに提供します。クライアント Web ブラウザーは、使用する認証の種類を決定します。基本認証のみを選択する場合は、必ず SSL を有効にしてください。SSL を有効にしないと、悪意のあるユーザーに資格情報を傍受される可能性があります。

    2. フォーム ベース認証を有効にする場合は、[フォーム ベース認証 (FBA) の有効化] を選択し、メンバーシップ プロバイダー名とロール マネージャー名をボックスに入力します。

       詳細については、「クレーム ベースの Web アプリケーション用にフォームベースの認証を構成する (SharePoint Server 2010)」を参照してください。

       注意

       このオプションを選択する場合は、必ず SSL を有効にしてください。SSL を有効にしないと、悪意のあるユーザーに資格情報を傍受される可能性があります。

    3. Windows PowerShell で信頼できる ID プロバイダー認証をセットアップした場合、[信頼できる ID プロバイダー] チェック ボックスはオンです。

       詳細については、「SAML セキュリティ トークンを使用して認証を構成する (SharePoint Server 2010)」を参照してください。

    1 つまたは複数のクレーム認証の種類を使用できます。詳細については、「認証方法を計画する (SharePoint Server 2010)」を参照してください。

11. [サインイン ページの URL] セクションで、SharePoint Server 2010 にサインインするための次のどちらかのオプションを選択します。

    • クレーム ベース認証でユーザーを既定のサインイン Web サイトにリダイレクトするには、[既定のサインイン ページ] をクリックします。

    • クレーム ベース認証でユーザーをユーザー設定のサインイン Web サイトにリダイレクトする場合は、[ユーザー設定のサインイン ページ] を選択して、サインイン URL を入力します。

12. [パブリック URL] セクションで、ユーザーがこの Web アプリケーションでアクセスするすべてのサイトのドメイン名に対応する URL を入力します。この URL は、Web アプリケーション内のページに表示されるリンクで基本 URL として使用されます。既定の URL は現在のサーバー名とポートであり、ページでの現在の SSL、ホスト ヘッダー、およびポート番号の設定を反映して自動的に更新されます。SharePoint Server 2010 をロード バランサーまたはプロキシ サーバーの背後に展開している場合、この URL はこのページの SSL、ホスト ヘッダー、およびポートの設定と異なるものにすることが必要になる場合があります。

    新しい Web アプリケーションについては、[領域] の値は自動的に [既定] に設定されます。

    注意

    Web アプリケーションを拡張するときにゾーンを変更できます。詳細については、「Web アプリケーションを拡張する (SharePoint Server 2010)」を参照してください。

13. [アプリケーション プール] セクションで、次のどちらかを実行します。

    • [既存のアプリケーション プールを使用する] をクリックし、使用するアプリケーション プールをドロップダウン メニューから選択します。

    • [新しいアプリケーション プールを作成する] をクリックし、新しいアプリケーション プールの名前を入力するか、既定の名前をそのまま使用します。

    詳細については、「論理アーキテクチャ コンポーネント (SharePoint Server 2010)」を参照してください。

14. [このアプリケーション プールのセキュリティ アカウントを選択してください] セクションで、次のどちらかを実行します。

    • 定義済みのセキュリティ アカウントを使用する場合は、[定義済み] をクリックし、該当するセキュリティ アカウントをドロップダウン メニューから選択します。

    • 新しいセキュリティ アカウントを指定して既存のアプリケーション プールで使用する場合は、[構成可能] をクリックします。

    注意

    [新しい管理アカウントの登録] リンクをクリックすることで、新しいアカウントを作成できます。

15. [データベース名と認証] セクションで、新しい Web アプリケーションのデータベース サーバー、データベース名、および認証方法を下記の表に従って選択します。

    アイテム	処理
    データベース サーバー	使用するデータベース サーバーおよび Microsoft SQL Server インスタンスの名前を <サーバー名\インスタンス> の形式で入力します。既定のエントリを使用することもできます。
    データベース名	データベースの名前を入力するか、既定のエントリを使用します。
    データベースの認証	以下のどちらかを実行して、使用するデータベース認証を選択します。 Windows 認証を使用する場合は、このオプションが選択された状態にしておきます。Windows 認証は SQL Server に接続するときにパスワードを自動的に暗号化するので、このオプションをお勧めします。 SQL 認証を使用する場合は、[SQL 認証] をクリックします。[アカウント] ボックスに、Web アプリケーションが SQL Server データベースに対する認証に使用するアカウントの名前を入力し、[パスワード] ボックスにそのパスワードを入力します。 注意 SQL 認証は SQL 認証パスワードを暗号化しないで SQL Server に送信します。SQL 認証は IPsec を使用してネットワーク トラフィックを暗号化するプロトコル暗号化を SQL Server に対して実施する場合にのみ使用することをお勧めします。

    16. データベース ミラーリングを使用する場合は、[フェールオーバー サーバー] セクションの [フェールオーバー データベース サーバー] ボックスに、コンテンツ データベースに関連付ける特定のフェールオーバー データベース サーバーの名前を入力します。

    17. [サービス アプリケーションの接続] セクションで、Web アプリケーションで使用可能になるサービス アプリケーション接続を選択します。ドロップダウン メニューの [既定] または [カスタム] をクリックします。Web アプリケーションで使用するサービス アプリケーション接続を選択するには、[カスタム] オプションを使用します。

    18. [カスタマー エクスペリエンス向上プログラム] セクションで、[はい] または [いいえ] をクリックします。

    19. [OK] をクリックして、新しい Web アプリケーションを作成します。

    Windows PowerShell を使用して Windows クレーム認証を使用する Web アプリケーションを作成するには

    1. 次の最小要件を満たしていることを確認します。Add-SPShellAdmin を参照してください。また、Windows PowerShell を実行するコンピューターのローカル Administrators グループのメンバーである必要もあります。さらに、手順によっては SQL Server 固定サーバー ロールの dbcreator および securityadmin のメンバーシップが必要となります。

    2. [スタート] メニューの [すべてのプログラム] をクリックします。

    3. [Microsoft SharePoint 2010 製品] をクリックします。

    4. [SharePoint 2010 管理シェル] をクリックします。

    5. Windows クレーム認証プロバイダーを作成するには、Windows SharePoint のコマンド プロンプトで次のコマンドを入力します。

       $ap = New-SPAuthenticationProvider
       

       Windows クレーム認証を使用する Web アプリケーションを作成するには、Windows PowerShell コマンド プロンプトで次のコマンドを入力します。

       $wa = New-SPWebApplication -Name <ClaimsWindowsWebApplication> -ApplicationPool <ClaimsApplicationPool> -ApplicationPoolAccount <ClaimsApplicationPoolAccount> -URL <URL> -Port <Port> -AuthenticationProvider $ap
       

       注意

       アプリケーション プール アカウントにはサーバー ファームの管理アカウントを使用することをお勧めします。

       ここで、

       • <Name> は、Windows クレーム認証を使用する新しい Web アプリケーションの名前です。

       • <ApplicationPool> は、アプリケーション プールの名前です。

       • <ApplicationPoolAccount> は、このアプリケーション プールが実行するユーザー アカウントです。

       • <URL> は、Web アプリケーションのパブリック URL です。

       • <Port> は、IIS で Web アプリケーションが作成されるポートです。

         例

         $ap = New-SPAuthenticationProvider
         
         $wa = New-SPWebApplication -Name "Contoso Internet Site" -ApplicationPool "ContosoAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "DOMAIN\jdoe") -URL "https://www.contoso.com" -Port 80 -AuthenticationProvider $ap
         

    詳細については、「New-SPWebApplication」および「New-SPAuthenticationProvider」を参照してください。

    注意

    コマンドライン管理タスクを実行するときには Windows PowerShell を使用することが推奨されています。Stsadm コマンドライン ツールは推奨されていませんが、製品の以前のバージョンとの互換性をサポートするために含まれています。

    See Also

    Concepts

    Web アプリケーションを拡張する (SharePoint Server 2010)
    サイト コレクションを作成する (SharePoint Server 2010)
    クレーム ベースの Web アプリケーション用にフォームベースの認証を構成する (SharePoint Server 2010)
    SAML セキュリティ トークンを使用して認証を構成する (SharePoint Server 2010)
    Windows クラシック認証を使用する Web アプリケーションを作成する (SharePoint Server 2010)

    Other Resources

    Web サーバーのセキュリティを構成する (IIS 7)